La familia ISO 27001 crece. ISO 27799, un paso más en la Seguridad de la Información del sector sanidad

Para el sector sanitario tenemos una muy buena noticia, la norma ISO 27799 aparecida en 2008, parece estar teniendo buena acogida en los profesionales de este sector y ya es una lectura obligada para los profesionales y consultores que trabajen en este tipo de organizaciones. ISO 27799 ha sido creada contemplando las mejores prácticas llevadas a cabo en diversos centros de atención primaria, en clínicas, por equipos de atención domiciliaria, en hospitales, en consultas de especialistas, etc con la única finalidad de incorporar una aproximación a la realidad de los problemas que actualmente existen y de cómo gestionarlos.

Fuente:ISO/IEC 27000.Elaboración propia del autor.

La SEGURIDAD DE LA INFORMACIóN EN SANIDAD

Seguridad de la información es la suma de tres conceptos:

CONFIDENCIALIDAD+INTEGRIDAD+DISPONIBILIDAD

• Proteger la confidencialidad se hace obligatorio, puesto que los datos personales referentes a la salud deben de ser tratados con el nivel más alto de protección. En esta variable conviene recordar que existen mayores riesgos cuando la información no está informatizada
• Por otra parte, es indispensable mantener la integridad de la información médico-sanitaria, para garantizar la seguridad de los pacientes,
• Por último, la disponibilidad de información referente a la salud también es fundamental para la eficacia de la prestación de servicios médicos. Los sistemas informáticos sanitarios deben de cumplir con la única premisa de permanecer en funcionamiento tanto en situaciones de desastre natural, como en fallos del sistema o durante eventuales ataques de denegación de servicio.

En el sector sanidad la integridad y disponibilidad de una historia clínica es mucho más importante que la confidencialidad. La falta de integridad o disponibilidad de datos sanitarios en una historia clínica puede llegar a suponer la pérdida de vidas humanas

¿POR QUé GESTIóNAR LA SEGURIDAD?

Gran reto tenemos los consultores para convencer a nuestros clientes y a nuestro equipo de trabajo que “apagando fuegos con jeringuillas no se extingue un incendio”. Se me ocurre juntar una serie de frases, “tagueando experiencias” para poder explicar lo que significa gestionar la seguridad:

“ gestionar el trabajo de proveedores, marcar pautas y procedimientos, no dejarse agujeros, desarrollar software de manera ordenada, trabajar en equipo, actuar ante incidencias, gestionar adecuadamente un problema, aprender de los errores, contratar a gente válida, transmitir obligaciones según los roles, hacer que la seguridad sea más fácil y transparente al usuario, no volver a cometer los mismos errores, sensibilizar a los usuarios, pedir responsabilidad a la dirección, saber cuanto cuesta la seguridad, preveer los problemas, crear metodología de trabajo, mejorar ”

La mejor manera de “Gestionar la seguridad” es implantar un SGSI, un sistema de gestión de seguridad de la información e ISO 27001 y su familia de normas nos proporcionan este marco de trabajo

ISO 27799:2008

La norma no es nueva. Desde 2003 ya viene trabajando el grupo de trabajo TC215 WG4 y desde finales de 2006 la norma ya era pública en la comunidad científica

La norma ISO 27799:2008 especifica para el ámbito sanitario define las directrices que pueden apoyar la interpretación y la aplicación al sector de las ya mencionadas ISO 27001 y 27002. Especifica un conjunto detallado de controles para la gestión de la seguridad de la información específicas para el ámbito específico y nos proporciona una serie de claras directrices de seguridad sobre las mejores prácticas a seguir en los temas relacionados con la salud.

ISO 27799:2008 es aplicable a la información sanitaria en todos sus aspectos y en cualquiera de sus formas (palabras, números, grabaciones sonoras, dibujos, vídeo e imágenes médicas o radiografías), sobre cualquier medio de almacenamiento (escrito o impreso en papel y electrónico) y a través de cualquier medio de transmisión (valijas o mensajería, faxes, redes informáticas o correo electrónico).

El contenido de la norma refleja la evolución positiva y práctica de la familia ISO 27000. Razona y especifica los riesgos propios del sector sanitario variando el orden de importancia de los factores de seguridad. Especifica además por ejemplo 25 vulnerabilidades típicasy sobre todo nos da una guía de como implantar ISO 27001 y los controles ISO 27002. Por tanto implantar esta norma sin disponer de un sistema de gestión no tiene mucho sentido. Por ejemplo podemos implantar un sistema de incidencias pero si no lo analizamos y no aprendemos de él, es más que probable que se abandone y caigamos en una burocracia tecnológica que no repercuta en mejorar en seguridad.

Esta norma no es certificable, unicamente representa directrices sobre el sector y se implanta y desarrolla bajo el sistema de gestión definido sobre ISO 27001.

Sería deseable que ISO 27799 sea traducida al español por AENOR y adoptada como norma UNE. Esperemos que dicha traducción llegue lo antes posible y ayude a los proyectos punteros sobre todo en sanidad pública tengan mayor éxito.

Proximos artículos en desarrollo y en este blog sobre Seguridad de la Información:

• Implantar un SGSI: factores de éxito
• La divulgación y sensibilización de la seguridad de la información
• Claves para certificarse en ISO 27001 sin problemas